Um guia completo para criptografia e codificação resistente a quântica

Ainda nos estágios iniciais de desenvolvimento, os computadores quânticos estão prontos para mudar o mundo – e isso inclui a capacidade de quebrar a criptografia que usamos hoje. Os computadores quânticos estão se aproximando do poder computacional e da estabilidade necessários para quebrar os protocolos de criptografia de chave pública. A hora de migrar para a criptografia pós-quântica é agora.

Os computadores quânticos aplicam as propriedades da mecânica quântica ao poder de processamento. Isso permite que eles realizem cálculos altamente complexos de forma significativamente mais rápida do que os computadores clássicos.

Antes de entender a computação quântica, é preciso primeiro entender o "qubit". Na computação tradicional, a unidade básica de memória é um "bit", que representa um ou zero. Por outro lado, um qubit pode representar um, zero ou até mesmo uma combinação de ambos ao mesmo tempo – um fenômeno conhecido como "superposição".

Quando os computadores clássicos tentam resolver um problema com múltiplas variáveis, eles precisam realizar um novo cálculo sempre que uma variável muda. Como uma solução determinística, cada cálculo é um único caminho para um único resultado. Os computadores quânticos não estão limitados a um algoritmo e podem explorar vários caminhos simultaneamente.

Em resumo, essa capacidade significa que a computação quântica é exponencialmente mais rápida do que os recursos que temos atualmente.

A computação quântica trouxe uma grande mudança para a sociedade, impactando tudo, desde o setor automotivo até a química, a biologia e a física. Com um poder de processamento sem precedentes, os computadores de próxima geração terão um impacto tangível em vários setores importantes:

• Automotivo: Os computadores quânticos poderiam ser aplicados ao processo de fabricação, diminuindo os custos e reduzindo os tempos de ciclo por meio da otimização da produtividade.
• Finanças: No futuro, as instituições financeiras poderão aproveitar a tecnologia quântica para o gerenciamento avançado de portfólios e riscos.
• Inteligência Artificial: A combinação da computação quântica com um algoritmo de IA e aprendizagem profunda pode agilizar muito a análise de dados, reduzir os tempos de treinamento e otimizar as operações da cadeia de suprimentos.
• Produtos farmacêuticos: Os computadores quânticos têm o potencial de acelerar rapidamente a pesquisa e o desenvolvimento. Além disso, eles podem reduzir a dependência de tentativa e erro para melhorar consideravelmente a eficiência de P&D.

Os sistemas criptográficos atuais oferecem proteção mais do que suficiente até mesmo contra as ameaças mais persistentes à segurança cibernética. No entanto, nenhum deles está a salvo de ataques quânticos.

Felizmente, ainda não existe um computador quântico criptograficamente relevante porque não há nenhum sofisticado o suficiente para decifrar a codificação de chave pública. No entanto, os criminosos cibernéticos já estão colhendo informações antecipadamente para quando esse dia chegar – uma estratégia conhecida como “colher agora, descriptografar depois”.

As organizações com uma abundância de dados com valor de longa data (normalmente 25 anos) são particularmente suscetíveis à ameaça quântica. Por exemplo, infraestruturas essenciais, como finanças, saúde e governo, já começaram a fazer a transição para uma postura de segurança quântica segura.

Muitos esquemas criptográficos padrão são vulneráveis a ataques quânticos. Isso inclui:

• Advanced Encryption Standard (AES) 256: Necessária maior saída
• Secure Hash Algorithm (SHA) 256 e SHA-3: Necessária maior saída
• Criptografia Rivest-Shamir-Adelman (RSA): Não é mais seguro
• Criptografia de curva elíptica (ECDSA e ECDH): Não é mais seguro
• Algoritmo de assinatura digital (DSA): Não é mais seguro

Tomar medidas para proteger os dados da sua organização – hoje e no futuro – migrando para a criptografia pós-quântica. O processo pode levar anos e o National Institute of Standards and Technology (NIST) está trabalhando ativamente para estabelecer novos protocolos.

A Entrust é membro participante da Internet Engineering Task Force (IETF) e participa do NIST para identificar novos padrões de criptografia resistentes à quântica para o mundo pós-quântico. É fundamental começar a planejar a substituição de hardware, software e serviços que usam algoritmos de chave pública agora, para que as informações estejam protegidas contra a futura ameaça quântica.

Os computadores quânticos foram amplamente relegados a laboratórios e universidades nacionais, mas várias marcas estão entrando na disputa e criando computadores quânticos comercialmente disponíveis, como a IBM, Microsoft, Google, AWS e Honeywell. Embora a tecnologia esteja em desenvolvimento, ela está pronta para avançar rapidamente. E a disponibilidade generalizada de computadores quânticos poderia aumentar o risco potencial da criptografia de chave pública.

De acordo com McKinsey, os principais participantes da produção de computadores quânticos, bem como um pequeno grupo de empresas iniciantes, em breve aumentarão o número de qubits que suas inovações podem suportar. Até 2030, 5.000 computadores quânticos estarão funcionando. No entanto, as organizações não precisarão esperar muito para começar a enfrentar ameaças à segurança pós-quântica. O Global Risk Institute prevê que os computadores quânticos quebrarão os mecanismos atuais de segurança cibernética em algum momento entre 2027 e 2030.

A boa notícia é que os avanços na criptografia quântica segura têm o potencial de atenuar a ameaça iminente à criptografia de chave pública.

Conforme definido pela Caltech, a criptografia pós-quântica (PQC) tem como objetivo criar métodos de criptografia que não possam ser quebrados por um algoritmo quântico. Ele usa as leis da física quântica para transmitir dados privados de maneira indetectável. Esse processo é conhecido como distribuição de chaves quânticas.

Um algoritmo de PQC compara as medições feitas em ambas as extremidades de uma transmissão, permitindo que você saiba se a chave foi comprometida.

A agilidade da criptografia, ou agilidade criptográfica, é a capacidade de alterar, aprovar e revogar ativos criptográficos conforme necessário para responder às ameaças em desenvolvimento.

A agilidade criptográfica permite alterar os algoritmos criptográficos, combinar métodos de criptografia, aumentar o tamanho das chaves de criptografia e revogar certificados digitais, tudo isso sem um aumento significativo na segurança e na TI. Isso a torna um importante ponto de partida para qualquer organização em seu caminho para a segurança pós-quântica.

Existem algumas etapas simples que as empresas podem seguir para avaliar a maturidade de sua agilidade em criptografia.

1. Primeiro, identifique o algoritmo, os riscos de proteção de dados e os desafios pós-quânticos em suas operações comerciais. Sua organização usa alguma chave de criptografia atualmente considerada em risco?
2. Em seguida, mapeie seu plano de migração e estabeleça cronogramas para atingir determinados marcos. Uma migração bem-sucedida pode levar anos, portanto, certifique-se de adotar uma abordagem em fases, em vez de lidar com mais do que é capaz.
3. Por fim, analise sua governança em relação às práticas recomendadas de controle, conformidade e habilidades de preparação para testes e implementação de migração pós-quântica.

Depois de saber quais dados estão em risco, você pode desenvolver um plano detalhado para atenuar as possíveis ameaças. Ou usar o Entrust's Cryptographic Center of Excellence para obter recomendações práticas para remediar os riscos identificados nos sistemas de criptografia.

Alcançar a prontidão quântica não é uma tarefa fácil. Felizmente, há quatro medidas que você pode tomar hoje para garantir que sua jornada comece no caminho certo:

1. Faça um inventário de seus ativos e dados criptográficos e onde eles residem.
2. Priorize seus ativos mais valiosos e aqueles com maior prazo de validade. Primeiro, migre esses dados para a criptografia pós-quântica.
3. Teste algoritmos resistentes ao quantum em um conjunto de dados de protótipo antes do negócio real.
4. Planeje um roteiro para migrar para algoritmos de PQC com seus fornecedores.

Sua organização não precisa planejar a criptografia pós-quântica por conta própria. O Entrust's Cryptographic Center of Excellence (CryptoCoE) fornece as ferramentas e a orientação necessárias para inventariar e priorizar seus dados e ativos criptográficos e, ao mesmo tempo, colocar em ação um plano pós-quântico.